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Kleine Anfrage 

der Abgeordneten Jan Körte, Frank Tempel, Dr. Andre Hahn, Ulla Jelpke, 
Katrin Kunert, Dr. Petra Sitte und der Fraktion DIE LINKE. 


Cyber-Sicherheitsstrategie der Bundesregierung 


Am 9. November 2016 hat die Bundesregierung eine Neufassung ihrer Cyber- 
Sicherheitsstrategie verabschiedet, die nun auch als Bundestagsdrucksache 
(18/10395) vorliegt. Zugleich wurde der „Bericht zur Lage der IT-Sicherheit in 
Deutschland 20 1 6“ vorgelegt. Der Bericht listet eine Reihe von Gefährdungen für 
die Sicherheif und Integrifäf informationsfechnischer Sysfeme auf, die auf krimi- 
nelles und sfaafliches bzw. geheimdienstliches Handeln zurückgehen. 

Die Steigerung der IT-Sicherheit wird als „gemeinsame Verantwortung“ von 
„Staat, Wirtschaft, Wissenschaft und Gesellschaft“ bezeichnet, hier seien 
„enge Zusammenarbeit und Koordinierung“ notwendig (Bundestagsdrucksa- 
che 18/10395, S. 4). Betont wird der „kooperative Ansatz“ von Staat und Wirt- 
schaft in der IT-Sicherheit. So schlägt die Strategie statt der Einführung verbind- 
licher und klarer Zulassungsregelungen für neue IT-Produkfe die „Einführung ei- 
nes Güfesiegels für IT-Sicherheif“ vor, an dem sich Firmen und privafe Nufzerin- 
nen und Nufzer bei ihren Kaufenfscheidungen orientieren sollen. Nur verbräm! 
enthälf die Cyber-Sicherheifssfrafegie die Aussage, dass solche Zertifizierungen 
zukünftig durch die IT-Untemehmen selbst entwickelt werden sollen und sie die 
Zertifizierung am Ende womöglich selbst vornehmen sollen („verstärkte Invol- 
vierung und Akkreditierung von Unternehmen sowie deren vertiefte Integration 
in den Zertifizierungsprozess“, S. 6). Vor allem im Handlungsfeld „Gemeinsamer 
Auftrag von Sfaaf und Wirtschaft“ wird an vielen Sfellen aus Sicht der Fragestel- 
lerin offenbar, dass staatlichen Einrichtungen schlicht die Fähigkeiten und Res- 
sourcen fehlen, um die Sicherheit und Integrität informationstechnischer Systeme 
in der Bundesrepublik Deutschland sichern zu können, also eine klassische staat- 
liche Aufgabe der Gefahrenabwehr erfüllen zu können: Statt klarer Vorgaben sol- 
len bei der Umsetzung des IT-Sicherheitsgesetzes „Mindeststandards und Melde- 
wege gemeinsam mit der Wirtschaft erarbeitet, umgesetzt und fortentwickelt“ 
werden (S. 8); „zukünftig“ sollen „private IT- Sicherheitsdienstleister im Bedarfs- 
fall stärker als in anderen Bereichen staatlichen Handelns eingebunden“ werden 
(S. 9); für den Informationsaustausch soll „eine Kooperationsplaftform für Sfaaf 
und Wirtschaft“ insfifufionalisiert werden (S. 9), sfaff klare Berichfspflichfen der 
Unternehmen zu jeglichen sicherheitsrelevanten Vorfällen zu schaffen. 

Im Handlungsfeld „Leisfungsfähige und nachhaltige gesamfsfaafliche Cyber- 
Sicherheitsarchifekfur“ wäre der Ort, um eine Sfrafegie zu beschreiben, mit der 
sich staatliche Stellen aus der strukturellen Abhängigkeit von privaten IT-Sicher- 
heitsdienstleistem befreien können. Unter vielversprechenden Überschriften wie 
„Die Fähigkeit zur Analyse und Reaktion vor Ort stärken“ finden sich jedoch 
ausschließlich Verweise auf bereits gebildete oder noch zu gründende Spezialein- 
heiten, die lediglich bei besonders schwerwiegenden IT-Sicherheitsvorfällen in 
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die betroffenen Behörden ausrücken. Zur Frage, wie Rechenzentren und andere 
IT-Struktureinheiten von Bundesbehörden bis zur kommunalen Verwaltung 
selbst in ihren (sicherheitsrelevanten) IT-Fähigkeiten gestärkt werden können, 
findet sich hingegen wenig bis nichts. Als einzige Einrichtung, die sich gezielt 
mit der Vermittlung von Spezialwissen im Bereich der Cyber-Sicherheit befassen 
und Ausbildungskapazitäten aufbauen soll, wird die Universität der Bundeswehr 
München benannt (S. 14). Die Bundeswehr soll außerdem ihre „besondere Ex- 
pertise, Fähigkeiten und Ressourcen“ in Form der Amtshilfe anderen Behörden 
zur Verfügung stellen - dabei aber wiederum durch Privatuntemehmen unter- 
stützt werden (S. 12). Das klingt einerseits nicht schlüssig, andererseits ist zu be- 
fürchten, dass die Bundeswehr auch im Inland zum zentralen Akteur der Cyber- 
Sicherheit wird. 

Wir fragen die Bundesregierung: 

1. Welche Formate der Aus-, Fort- und Weiterbildung für Auszubildende und 
Beschäftigte der Behörden des Bundes enthalten derzeit welche Elemente 
mit Bezug zu IT-Sicherheit (bitte nach den jeweiligen Abschlusszertifikaten 
auflisten)? 

2. Wie viele Beschäftigte von Bundesbehörden haben in den Jahren 2015 und 
2016 eine Fortbildung zu Fragen der IT-Sicherheit erhalten (bitte nach Ge- 
schäftsbereichen und Träger für beide Jahre getrennt auflisten)? 

3. Was ist unter einem „möglichst breite(n) Zugang zum neuen Studiengang 
,Cyber-Sicherheit‘ an der Universität der Bundeswehr in München“ (Bun- 
destagsdrucksache 18/10395, S. 14) genau zu verstehen? 

a) Für welche Behörden soll dieser Studiengang geöffnet werden? 

b) Mit welchen Immatrikulationszahlen rechnet die Bundesregierung auf- 
grund entsprechender Bedarfsanmeldungen aus dem Geschäftsbereich 
des Bundesministeriums der Verteidigung? 

c) Für wie viele Studentinnen und Studenten insgesamt soll der geplante Stu- 
diengang offen stehen? 

d) Wie weit ist die Konzeption dieses Studiengangs fortgeschritten, und was 
werden wesentliche Leminhalte sein? 

e) Sollen innerhalb des Studiengangs auch diejenigen Leminhalte, die der 
Aneignung offensiver Fähigkeiten in der Cyber- Abwehr dienen, den zivi- 
len Absolventinnen und Absolventen offen stehen? 

4. Was ist konkret unter dem Begriff „Cyber-Cluster“ (S. 14) zu verstehen 
(instituionell, räumlich, zeitlich, Zweck und Arbeitsgegenstand), und wie 
sollen diese „Cyber-Cluster“ konkret zur Gewinnung von IT-Fachkräften für 
die öffentliche Verwaltung nutzbar gemacht werden? 

5. Gibt es über die Idee, „die Arbeitgeberattraktivität des Öffentlichen Dienstes 
offensiver darzustellen“, hinaus noch Ideen, wie die Attraktivität des öffent- 
lichen Dienstes gerade für IT-Fachkräfte gezielt gesteigert werden kann? 

6. Entspricht es der Tatsache, dass es keine Möglichkeit der Eingruppierang für 
Absolventinnen und Absolventen mit einem abgeschlossenen Informatikstu- 
dium in eine Beamtenlaufbahn gibt? 

Wenn ja, wie soll eine Abhilfe geschaffen werden? 

7. Was ist konkret gemeint, wenn in der Cyber-Sicherheitsstrategie von der 
Durchführang von „Netzwerkoperationen“ (S. 11) durch staatliche Stellen 
die Rede ist? 
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8. Was sind in diesem Zusammenhang die von der Bundesregierung oder nach- 
geordneten Stellen zugrunde gelegten Szenarien von „schwerwiegenden Cy- 
ber-Angriffen“? 

9. Was meint die Bundesregierung konkret mit der besonderen „Expertise, Fä- 
higkeiten und Ressourcen“, die die Bundeswehr „in Form der Amtshilfe (. . .) 
auch anderen staatlichen Akteuren nutzbar“ (S. 12) machen könnte? 

10. Soll die Bundeswehr auch in solchen Amtshilfevorgängen auf Leistungen 
ziviler Unternehmen zurückgreifen, und wenn ja, wozu ist dann noch das 
Amtshilfekonstrukt notwendig? 

1 1 . Wie weit ist der Aufbau einer „Cyber-Reserve“ bei der Bundeswehr bereits 
vorangeschritten? 

a) Wie ist sie in die Aufbauorganisation der Bundeswehr eingegliedert? 

b) Wie viele Reservisten sind für diese Cyber-Reserve gemeldet und mit 
welchen Vorläufen einziehbar? 

c) Was sind die rechtlichen Voraussetzungen zum Einsatz einer solchen Re- 
servisteneinheit? 

d) Gibt es bereits konkretere Überlegungen zum Aufbau ziviler ehrenamtli- 
cher Strukturen in Anlehnung an eine solche „Cyber-Reserve“, beispiels- 
weise hinsichtlich der organisatorischen Anknüpfung an eine Behörde 
oder Organisation mit Sicherheitsaufgaben, der Mitgliedergewinnung 
etc.? 

12. Wie erklärt die Bundesregierung das völlige Fehlen — sowohl in der Sicher- 
heitsstrategie als auch im Bericht zur IT-Sicherheitslage - einer Betrachtung 
der zunehmenden Angreifbarkeit von Computersystemen zum Überwachen 
und Steuern technischer Prozesse (Supervisory Control and Data Acquisi- 
tion, SCADA), die nicht Teil Kritischer Infrastrukturen im Regelungsbereich 
des IT-Sicherheitsgesetzes sind, aber dennoch weitgehende Auswirkungen 
auf das zivile Leben haben können (bspw. Verkehrsleittechnik, Gebäudeleit- 
technik)? 

13. Welche Behörden des Bundes befassen sich derzeit schwerpunktmäßig mit 
dem Schutz insbesondere webbasierter SCADA, sieht die Bundesregierung 
hierfür in naher Zukunft Bedarf an zusäfzlichen Ressourcen (Personal, Ana- 
lysefools efc.), und wenn ja, bei welcher Behörde? 

14. Welche Behörden des Bundes einschließlich der Nachrichfendiensfe ersfel- 
len Lagebilder über die Bedrohungslage im Nefz, und worin unferscheiden 
sich diese Lagebilder sowohl unfereinander als auch von dem im Nationalen 
Cyber-Abwehrzenfrum ersfellfen Lagebild? 

15. Ersfellf das Bundesamf für Verfassungsschufz (BfV) oder eine andere Be- 
hörde des Bundes bereifs jefzf einen Spionageabwehrberichf, und enfhälf die- 
ser einen Berichfsfeil zur Cyber-Spionage bzw. Cyber-Sicherheif? 

Wenn ja, in welchem Turnus wird der Berichf ersfellf, und welchen Gremien 
des Deufschen Bundesfages wird dieser vorgelegf? 

16. Wie lassen sich die Aufgaben zwischen Bundesamf für Sicherheif in der In- 
formafionsfechnik (BSI) und BfV im Rahmen der Cyber-Sicherheif genau 
abgrenzen, und welche Änderungen sind diesbezüglich ggf vorgesehen? 

17. Wie sollen die eigenen „Bewerfungs- und Auswertungsfähigkeifen“ (S. 10) 
des Cyber-Abwehrzenfrums (Cyber-AZ) geschaffen werden, und wie viele 
Mittel sieben im Flaushalf 20 1 7 hierzu bereif (bitte nach Personal- und Sach- 
mitteln gefrennf angeben)? 
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18. Was wird sich infolge der Cyber-Sicherheitsstrategie in der Zusammenarbeit 
von Cyber- AZ und Bundeswehr ändern? 

19. Hat die Bundesregierung geprüft, inwieweit es sinnvoll ist, die Früherken- 
nung von Bedrohungen aus dem Cyber-Raum bei einer Behörde zu bündeln, 
wenn nein, warum nicht, und wenn ja, mit welchem Ergebnis? 

20. Sind die Darstellungen der Bundesregierung zur Vorgehensweise des Bun- 
desnachrichtendienstes (BND) zum Signals Intelligence Support to Cyber 
Defense und zur Erstellung aktueller Lagebilder dahingehend zu verstehen, 
dass der BND dabei auf private Unternehmen oder Honorarkräfte zurück- 
greift, und welche Maßnahmen sind geplant, um hierfür ausreichend eigene 
personelle Ressourcen aufzubauen? 

21. Welche Angaben kann die Bundesregierung nach Abschluss der parlamen- 
tarischen Beratung des Haushalts 20 1 7 hinsichtlich des Personalbedarfs für 
die Mobile Incident Response Teams (MIRT) des BSI, der Quick Reaction 
Forces (QRF) des Bundeskriminalamtes (BKA) und des Cyber-Teams des 
BfV und der Art der Personalgewinnung machen (Nachfrage zur Antwort der 
Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 18/9445, 
Antwort zu Frage 17d)? 

22. Was ist konkret unter dem „Ausbau datenschutzkonformer Sensorik zur 
Anomalieerkennung im Netz“ (Bundestagsdrucksache 18/10395, S. 9) zu 
verstehen, und welche Rolle soll dabei den Providern genau zukommen? 

23 . Was genau ist im Unterschied dazu unter einem kontinuierlichen Sicherheits- 
und Anomaliemonitoring zu verstehen, wie es nach dem Haushaltsplanent- 
wurf des Bundesministeriums des Innern (Einzelplan 06, Schwerpunktepa- 
pier zum Regierungsentwurf 20 1 7, S. 1 95) für technische Monitoring-Fähig- 
keiten des BSI im Bereich der mobilen Netzwerke vorgesehen ist? 

24. Warum hat die Bundesregierung die Frage 20 auf Bundestagsdrucksache 
1 8/9334 nach Plänen für einen Ausbau einer „Sensorik im Netz“ mit „Nein“ 
beantwortet, obwohl die nun verabschiedete Cyber-Sicherheitsstrategie ge- 
nau eine solche Formulierung enthält? 

25. Welche Mittel für Forschung und Entwicklung im Bereich der IT-Sicherheit 
stehen in diesem und im kommenden Jahr im Bundeshaushalt zur Verfü- 
gung? 

26. Welche gemeinsamen Forschungsprojekte und -plaftformen von Hochschu- 
len, außeruniversitären Forschungseinrichtungen (Industrieforschung) und 
„anderen Partnern aus der Wirtschaft“ (Bundestagsdrucksache 18/10395, 
S. 9) bestehen derzeit, in denen neue Produkte und Dienstleistungen im Be- 
reich Cyber-Sicherheit entwickelt werden, und welche Planungen für solche 
Kooperationen bestehen für die nahe Zukunft? 

27. In welchem Umfang werden Mittel für die Forschung im Bereich Cyber- 
Sicherheit aus dem EU-Forschungsförderprogramm „Horizon 2020“ für Pro- 
jekte in Deutschland in Anspruch genommen (bitte nach Projektträgem auf- 
listen und jeweils beteiligte Stellen des Bundes benennen)? 

Berlin, den 12. Dezember 2016 

Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion 
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